"הנגשת תשתיות UC יוצרת איומי אבטחה המחייבים הערכות מתאימה"

"מתן גישה לשירותי UC (תקשורת אחודה) מחוץ לרשת הארגונית, חושף את מערכות המידע בארגון לאיומי אבטחה חמורים, המחייבים טיפול ייעודי בבקרת גישה וסינון תוכן". כך אמר יואב קרומבי , מנכ"ל משותף באגת תוכנה, בכנס UC 2016.

קרומבי הציג בכנס את האיומים המרכזיים ואת דרכי ההתמודדות עמם. כנס Unified Communications & Collaboration בהפקת אנשים ומחשבים, נערך שבוע שעבר באולם אירועים LAGO בראשון לציון, בהשתתפות מאות אנשי מקצוע מהתחום. את הכנס הנחה גידי רחמים, יועץ טכנולוגי בכיר.

לדברי קרומבי, "ארגונים המאפשרים גישה לשירותי UC מרשת האינטרנט, חייבים להטמיע תשתיות הגנה מתאימות. מערכות ההגנה הרגילות, כדוגמת Firewall ,DLP ותשתיות MDM, אינן מסוגלות לתת מענה לעולם התקשורת האחודה בשל הצרכים המיוחדים שלו לתמיכה בתקשורת עם גורמים מזדמנים, ובשל הצורך לאפשר לעובדים להיות זמינים ומחוברים בכל עת מחוץ לגבולות החברה".

קרומבי מסביר כי "השימוש בתשתית UC לתקשורת אחודה קיבל דחיפה משמעותית בשנה האחרונה, מאז רכשה מיקרוסופט (Microsoft) את סקייפ (Skype), ולאחר החלפת Lync ב-Skype for Business. בעקבות כך מגיעה התשתית כעת כחלק אינטגרטיבי עם יתר מרכיבי חבילת Office".

"אנו רואים דחיפה גדולה מאוד מצד ארגונים רבים להרחיב את השימוש בתשתיות UC וכחלק מזה גובר הצורך להנגיש את התשתיות לחיבור מכשירים חיצוניים. ארגונים רבים מאפשרים גישה לתשתיות UC מחוץ לרשת הארגונית, כחלק טבעי מתהליך ההטמעה. יחד עם זאת, מהלך אפקטיבי זה מחייב התייחסות לאיומים החדשים שהוא מביא עימו", אמר קרומבי.

האיומים המרכזיים להתייחסות

לדברי קרומבי, "האיום הראשון והברור ביותר להדגמה וטיפול הינו נעילת חשבונות רשת. האיום נובע מכך שהשימוש ב-UC מחייב חשיפת שירותי הזדהות. דבר המאפשר לתוקף, המגלה את שם המשתמש, לנעול את המשתמש ברשת הארגונית של החברה על ידי שליחת בקשות הזדהות. לשם כך, אין אפילו צורך בידיעת הסיסמה ומספיק לדעת או לנחש את שם המשתמש".

"נעילת חשבונות רשת (Account lockout) כחלק ממתקפת DDoS, מאפשרת לתוקף – במאמץ לא גדול יחסית, לנעול את כל חשבונות הארגון ב-Active Directory, לנטרל את כל המשתמשים ולגרום נזק ישיר לארגון".

בעיה מרכזית נוספת, אמר קרומבי, "היא רמת האבטחה הלא מספקת של הטלפונים הניידים. בעיה זו מחייבת ארגונים לתור אחר פתרונות אבטחה מתאימים, בשל הקלות היחסית שבה יכול כל עובד להתקין תוכנות על גבי טלפון פרטי, שאינו מצוי בבקרה ותחת ניהול של החברה. כך בעצם נוצר ערוץ כניסה עוקף תשתיות MDM ותשתיות הגנה על טלפונים".

חשופים לבעיות דומות

"תשתיות ה-UC  חושפות שרותי תקשורת, שאינם דורשים הזדהות לטובת שיחה עם משתמשים מזדמנים, ומאפשרים לתוקף להזריק קוד זדוני, העושה את דרכו לרשת הארגונית מבלי צורך להזדהות. בנוסף הפרוטוקולים של התקשורת חושפים כתובת IP פנימיות של השרתים", אמר. "אופן זיהוי המשתמש על ידי פרטי הכניסה לרשת יכול לגרום לדליפה של הסיסמה ולאפשר כניסה למערכות תשתיות מרכזיות אחרות".

לדבריו, "גם נושא בקרת דליפת מידע (DLP ) הינו אתגר אשר המערכות הגנריות אינן מסוגלות לטפל בו בצורה מלאה בשל ריבוי ממשקי התקשורת שתשתיות UC מציעות; טלפונים, דפדפנים, יישומים מותאמים, מחשבים ועוד. מאחר והתקשורת מוצפנת, מרבית תשתיות ה-DLP מבצעות בקרה בצד נקודת הקצה, ולא מצליחות לכן למנוע זליגת מידע, כמו לדוגמה בשיחה IM בטלפון. התשתיות מאפשרות בנוסף העברת קבצים בין משתמשים ללא בקרה".

המחסור בפתרונות אבטחה מספקים, אמר קרומבי, "הניע את אגת לפתח פתרון לנושא בשם SkypeShield. הפתרון החדשני משמש כתשתית הגנה לשרותי UC הכוללים רישום מכשירים, הזדהות חזקה וסינון תוכן המתמקדים ב-Skype for Business. בכוונת החברה להרחיב בקרוב את התשתיות כדי לתת מענה גם לספקים נוספים כמו סיסקו (Cisco), החשופים אף הם לבעיות דומות".

לסיכום אמר קרומבי כי "החברה מציע סקירה חינם של איומי אבטחת מידע בפריסת תשתיות UC. המוצר הותקן כבר בהצלחה בקרב עשרות לקוחות בעולם, שחלקם הגדול מהפורצ'ן 500 (Fortune 500) כולל חברות טלקומוניקציה מובילות, מוסדות פיננסים ופירמות רואי חשבון בינלאומיות.